摘 要：隨著教育行業(yè)信息化建設(shè)的高速發(fā)展，信息安全問題屢見不鮮。教育行業(yè)信息系統(tǒng)一直是等級保護工作的重點測評對象。論文通過對上海市多所學(xué)校的信息系統(tǒng)進行等級保護測評工作中發(fā)現(xiàn)的問題進行風(fēng)險分析，并結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，提出如何推進相關(guān)工作的建議。

關(guān)鍵詞：教育行業(yè)；信息系統(tǒng)；等級保護；網(wǎng)絡(luò)安全法

中圖分類號： TP393 文獻標(biāo)識碼：A

Research on the Classified Protection of Information System in

Education Industry

Wu Teng, Song Hao-hao

(The Third Research Institute of Ministry of Public security, Shanghai Engineering Research Center of Cyber and Information Security Evaluation, Shanghai 200031)

Abstract With the rapid development of information technology in education industry, informationsecurity problems emerge in an endless stream. The information system of education industry has alwaysbeen the focus object of grade protection. This article analyzed the problems found in the classifiedprotection evaluation of the information system of many schools in Shanghai, combined with the relevantrequirements of internet security act, and put forward proposals for advancing related work.

Key words Education Industry; Information System; Classified Protection; Internet Security Act

1 引言

各高校、高職、中專、中小學(xué)等教育行業(yè)信息系統(tǒng)既包含用于校園資訊介紹、招生信息發(fā)布的門戶網(wǎng)站系統(tǒng)，還包括后臺管理系統(tǒng)、圖書館管理系統(tǒng)、學(xué)籍管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等與教研活動安排和信息管理的系統(tǒng)。近年來，發(fā)生的多次網(wǎng)絡(luò)攻擊事件表明，教育行業(yè)信息系統(tǒng)的安全依然是安全薄弱點，如何確保教育行業(yè)信息系統(tǒng)的安全成了迫切解決的問題。

自2009年開始，教育部辦公廳多次發(fā)文，要求全國教育行業(yè)按照國家信息安全等級保護制度的要求，做好教育系統(tǒng)網(wǎng)絡(luò)信息安全保障工作。2017年5月5日，教育部科技司印發(fā)《關(guān)于加快推進信息系統(tǒng)網(wǎng)絡(luò)安全等級保護定級備案工作的通知》，再次將教育行業(yè)等級保護工作提上日程。目前，教育行業(yè)各單位積極按照國家等級保護有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)實施信息系統(tǒng)安全建設(shè)整改和等級測評，信息系統(tǒng)的安全防護能力得到了一定提升，但在測評過程中發(fā)現(xiàn)了一些普遍存在的安全問題。2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》的正式實施，對信息系統(tǒng)等級保護測評工作提出了新的要求。本文將對上海市多所高校、高職、中專、中小學(xué)的信息系統(tǒng)進行等級保護測評工作中發(fā)現(xiàn)的問題進行分析，并結(jié)合網(wǎng)絡(luò)安全法的相關(guān)要求，提出相應(yīng)的對策。

自2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱：網(wǎng)絡(luò)安全法）中，第三章網(wǎng)絡(luò)運行安全第二十二條、第四章網(wǎng)絡(luò)信息安全第四十一條、第四十二條、第四十四條、第四十五條等對個人信息保護的基本原則和要求進行了闡述，并規(guī)定了相應(yīng)法律責(zé)任。這些表明了國家致力于加強對個人信息保護的堅決態(tài)度。從而保障網(wǎng)絡(luò)信息依法有序的自由流通，保護公民的個人信息安全，以防止公民的個人信息被泄露、被竊取和被非法使用。在教育行業(yè)信息系統(tǒng)中，后臺管理系統(tǒng)、圖書館管理系統(tǒng)、學(xué)籍管理系統(tǒng)、網(wǎng)上辦公系統(tǒng)等系統(tǒng)，存在網(wǎng)絡(luò)信息尤其是老師與學(xué)生的個人信息的流通，如何保證老師與學(xué)生的個人信息會在交互過程中不會被篡改、被截取、被破壞，是對教育行業(yè)信息系統(tǒng)在技術(shù)體系的挑戰(zhàn)。

網(wǎng)絡(luò)安全法對監(jiān)測預(yù)警與應(yīng)急處置措施專門列出一章作出規(guī)定，指出將建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，建立網(wǎng)絡(luò)安全風(fēng)險評估和應(yīng)急工作機制，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案并定期演練。明確了發(fā)生網(wǎng)絡(luò)安全事件時，需要采取的措施。在信息安全等級保護工作中，信息系統(tǒng)安全等級保護基本要求管理要求部分指出應(yīng)制定應(yīng)急預(yù)案，并要求定期對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)和演練，一旦發(fā)生安全事件，系統(tǒng)相關(guān)人員可以掌握適當(dāng)?shù)膽?yīng)急措施，使損失降到最低。教育行業(yè)信息系統(tǒng)的服務(wù)范圍甚廣，當(dāng)業(yè)務(wù)信息受到破壞時，不但會對學(xué)校的外在形象造成損害，同時虛假信息可能會造成學(xué)生、教師的利益受損，嚴(yán)重時可能危及訪問該平臺上所運行網(wǎng)站的公眾利益，所以應(yīng)急預(yù)案的培訓(xùn)和演練至關(guān)重要。

2 系統(tǒng)風(fēng)險分析

信息系統(tǒng)的安全一方面要依賴于完善的管理制度體系[1] ，覆蓋安全管理制度、機構(gòu)、人員安全、系統(tǒng)建設(shè)和運維管理五個方面，要做到“有法可依、有章可循”，并且在相應(yīng)的管理制度規(guī)定下充分執(zhí)行。另一方面離不開以基礎(chǔ)網(wǎng)絡(luò)建設(shè)、服務(wù)器安全、應(yīng)用系統(tǒng)安全和數(shù)據(jù)安全為核心組成部分的技術(shù)安全體系 [2-4] 。

截止2017年第二季度，對上海市多所學(xué)校的信息系統(tǒng)進行等保三級和等保二級測評，以及依據(jù)滬公通字[2015]65號《上海市黨政機關(guān)、事業(yè)單位和國有企業(yè)互聯(lián)網(wǎng)網(wǎng)站安全專項整治行動方案》對上海市教育行業(yè)進行互聯(lián)網(wǎng)網(wǎng)站安全專項一級檢查，其中包括普通中學(xué)門戶網(wǎng)站系統(tǒng)、小學(xué)門戶網(wǎng)站系統(tǒng)等，按照等保一級的要求進行測評。從以上網(wǎng)站系統(tǒng)的測評結(jié)果看來，存在的系統(tǒng)分析問題涉及到幾方面。

2.1 管理體系缺失

在管理制度體系方面，大部分學(xué)校在管理制度制定與執(zhí)行、系統(tǒng)測試驗收、安全技能培訓(xùn)和考核、應(yīng)急預(yù)案培訓(xùn)與演練等方面等存在一定缺失。

安全保護等級第一級和部分安全保護等級第二級的學(xué)校，其信息系統(tǒng)以第三方完全托管形式進行管理，由學(xué)校信息學(xué)科老師兼職負(fù)責(zé)與第三方托管單位進行業(yè)務(wù)對接，向第三方租用網(wǎng)絡(luò)和服務(wù)器空間或是購買網(wǎng)站安全服務(wù)的方式進行部署，日常管理維護都是由第三方進行負(fù)責(zé)。大部分安全保護等級第二級的學(xué)校，其信息系統(tǒng)以半托管形式進行管理，由本校信息科的老師兼職和第三方運維單位共同負(fù)責(zé)。由于學(xué)校的信息科老師是兼職負(fù)責(zé)，所有信息系統(tǒng)的網(wǎng)絡(luò)、軟件硬件、線路的維護以第三方運維單位為主要負(fù)責(zé)方。安全保護等級第三級的學(xué)校，其信息系統(tǒng)大多采用自管的方式進行管理，學(xué)校配備專職人員對信息系統(tǒng)進行維護管理，并選定符合國家有關(guān)規(guī)定的安全服務(wù)進行安全運維服務(wù)。部分學(xué)校在托管方和外包方的管理方面不夠投入，通常僅采取與托管方簽訂相關(guān)服務(wù)協(xié)議的形式來進行控制，并沒有相關(guān)管理制度對托管方進行約束。

在系統(tǒng)測試驗收方面，未對系統(tǒng)進行安全性測試驗收，源代碼審查、惡意代碼檢測，無法及時發(fā)現(xiàn)系統(tǒng)安全方面存在的問題，無法及時采取補救措施。

在安全技能培訓(xùn)和考核方面，未定期對各崗位的人員進行安全技能及安全認(rèn)知的考核，可能導(dǎo)致人員安全技能及安全認(rèn)知不足，不符合崗位要求。

在應(yīng)急預(yù)案培訓(xùn)與演練方面，未對系統(tǒng)相關(guān)的人員進行應(yīng)急預(yù)案培訓(xùn)和演練，一旦發(fā)生安全事件，可能存在系統(tǒng)相關(guān)人員尚未了解及掌握適當(dāng)?shù)膽?yīng)急措施，損失補救時間。

2.2 技術(shù)安全風(fēng)險

在技術(shù)安全體系方面，在基礎(chǔ)網(wǎng)絡(luò)建設(shè)中大部分學(xué)校采用硬件防火墻設(shè)備配合防病毒軟件的方式對服務(wù)器系統(tǒng)和應(yīng)用系統(tǒng)進行防護，缺少漏洞掃描、入侵檢測和數(shù)據(jù)備份等設(shè)備。

在服務(wù)器安全方面，系統(tǒng)默認(rèn)賬戶未重命名，攻擊者可以省略猜測用戶名步驟，直接破解密碼；未設(shè)置升級服務(wù)器為服務(wù)器系統(tǒng)補丁進行統(tǒng)一升級，驗證測試發(fā)現(xiàn)部分主機存在安全漏洞，漏洞不能及時得到修復(fù)而被攻擊者利用。

在應(yīng)用系統(tǒng)安全方面，應(yīng)用系統(tǒng)未采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，若網(wǎng)絡(luò)傳輸數(shù)據(jù)被破壞，造成重要數(shù)據(jù)丟失或者損壞，從而給應(yīng)用系統(tǒng)帶來安全隱患；缺少軟件容錯機制，可能引起網(wǎng)站被篡改或服務(wù)器被攻破的高風(fēng)險漏洞。

在數(shù)據(jù)安全方面，未提供鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在傳輸過程中的完整性檢測功能，若網(wǎng)絡(luò)傳輸數(shù)據(jù)遭到破壞，可能造成重要數(shù)據(jù)丟失或者損壞，給應(yīng)用系統(tǒng)帶來安全隱患；關(guān)鍵節(jié)點網(wǎng)絡(luò)設(shè)備未采用雙冗余設(shè)計，存在單點故障，一旦網(wǎng)絡(luò)設(shè)備損壞，可能導(dǎo)致系統(tǒng)服務(wù)中斷甚至無法恢復(fù)。

3 安全防護措施建議

3.1完善管理體系

在管理制度體系方面，采用第三方托管的學(xué)校要在托管方和外包方的管理方面加大力度，制定與托管方和外包方相關(guān)的管理制度，內(nèi)容涵蓋托管方和外包方的權(quán)限劃分，系統(tǒng)的內(nèi)容管理，用戶權(quán)限、賬號和密碼，應(yīng)用系統(tǒng)管理和維護，系統(tǒng)變更等方面。管理制度制定后的執(zhí)行是安全防護的關(guān)鍵點，制度落實后的相關(guān)執(zhí)行記錄要注意保存，以便追溯責(zé)任。

在系統(tǒng)測試驗收方面，建議對系統(tǒng)軟件進行源代碼審查、惡意代碼檢測，并組織進行安全性測試驗收；在安全技能培訓(xùn)和考核方面，建議定期對各個崗位的人員進行安全技能及安全認(rèn)知的考核，明確考核周期，并保留每一次培訓(xùn)、考核的記錄。

在應(yīng)急預(yù)案培訓(xùn)與演練方面，建議對系統(tǒng)相關(guān)人員進行應(yīng)急預(yù)案培訓(xùn)，應(yīng)急預(yù)案培訓(xùn)應(yīng)至少每年舉辦一次，定期對應(yīng)急預(yù)案進行演練，根據(jù)不同的應(yīng)急恢復(fù)內(nèi)容，確定演練周期。

3.2 加強技術(shù)安全體系

在技術(shù)安全體系方面，信息系統(tǒng)安全運行的前提條件是穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)環(huán)境。信息系統(tǒng)的應(yīng)用中信息訪問所占的比例很大，無限制的用戶訪問量給網(wǎng)絡(luò)帶來巨大壓力。因此在基礎(chǔ)網(wǎng)絡(luò)建設(shè)的第一步，就是根據(jù)網(wǎng)絡(luò)組成部分的職能進行區(qū)域劃分，并根據(jù)各節(jié)點業(yè)務(wù)的重要程度，對其帶寬進行分配并設(shè)置訪問控制策略。在網(wǎng)絡(luò)設(shè)備啟用雙鏈路，進行負(fù)載均衡配置，并加入互聯(lián)網(wǎng)防火墻、WAF、入侵檢測等設(shè)備以加固基礎(chǔ)網(wǎng)絡(luò)。本著這些原則建議采用安全保護架構(gòu)進行網(wǎng)絡(luò)建設(shè)，網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

安全保護架構(gòu)網(wǎng)絡(luò)劃分為可信交換區(qū)、DMZ和運維區(qū)三個區(qū)域。核心交換區(qū)通過電信網(wǎng)和教育網(wǎng)兩條鏈路外聯(lián)，經(jīng)過負(fù)載均衡設(shè)備連接到互聯(lián)網(wǎng)防火墻，然后接入到核心交換機，核心交互區(qū)部署入侵檢測系統(tǒng)，運維區(qū)接入到核心交換區(qū)的核心交換機上，應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器部署在DMZ區(qū)，經(jīng)過匯聚交換機和WAF連接到核心交換區(qū)的互聯(lián)網(wǎng)防火墻上。

在服務(wù)器安全方面，根據(jù)等級保護主機安全的要求，對服務(wù)器主機操作系統(tǒng)、數(shù)據(jù)庫、運維終端等的系統(tǒng)默認(rèn)賬號進行重命名，并且設(shè)置密碼策略和超時退出策略；對服務(wù)器主機操作系統(tǒng)和數(shù)據(jù)庫開啟安全審計策略，設(shè)置升級服務(wù)器為服務(wù)器系統(tǒng)補丁進行統(tǒng)一升級，及時修補系統(tǒng)存在的安全漏洞。

在應(yīng)用系統(tǒng)安全方面，除對應(yīng)用系統(tǒng)設(shè)計過程中進行注意，采用校驗碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，從而降低網(wǎng)絡(luò)通信過程中的數(shù)據(jù)丟失或損壞的概率；通過在網(wǎng)絡(luò)中部署Web應(yīng)用防火墻，以防止來自網(wǎng)絡(luò)中的SQL注入、跨站腳本、遠(yuǎn)程代碼執(zhí)行等應(yīng)用層攻擊，部署網(wǎng)頁防篡改系統(tǒng)以防信息系統(tǒng)受到非授權(quán)的修改、增加或刪除。缺少軟件容錯機制，可能引起網(wǎng)站被篡改或服務(wù)器被攻破的高風(fēng)險漏洞。同時，定期對網(wǎng)站做滲透性測試，以及時發(fā)現(xiàn)其潛在的安全漏洞并進行整改。

在數(shù)據(jù)安全方面，依據(jù)等級保護的要求，對關(guān)鍵節(jié)點的網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余采用雙冗余設(shè)計，提高系統(tǒng)的可用性和服務(wù)的持續(xù)性。定期對信息系統(tǒng)的數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)等進行備份，并且定期對數(shù)據(jù)的完整性以及備份的可用性做檢查。

4 結(jié)束語

目前，教育行業(yè)信息化建設(shè)正處于發(fā)展的關(guān)鍵時期，對于教育行業(yè)信息安全等級保護工作來說既是挑戰(zhàn)也是機會。教育行業(yè)信息系統(tǒng)作為教育行業(yè)信息化建設(shè)的“臉面”，更是重中之重，只有根據(jù)教育行業(yè)各種安全管理的要求，建立完整的適應(yīng)性安全管理體系，實現(xiàn)管理制度體系和技術(shù)安全體系的整合，不斷解決在等保測評過程中發(fā)現(xiàn)的安全問題，才能增強迅猛發(fā)展的信息安全威脅的抵抗力。

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……